现代安全运营中心（SOC）

1.安全运营中心（SOC）的定义

    A security operations center provides centralized and consolidated cybersecurity incident prevention,detection and response capabilities.  - Gartner
   安全运营中心提供集中和综合的网络安全事件预防、检测和响应能力。

    SOC is first a TEAM. Next a PROCESS. And it uses TECHNOLOGY too.
    SOC首先是一个团队，其次是一个过程，而且它也使用技术。

2.现代安全运营中心（SOC）

- Teams are organized by skill, not rigid level。按技能组织团队，而不是严格的级别。

- Process structures around threats,not alerts。围绕威胁而非告警的流程结构。

- Threat hunting covers cases where alerts never appear。Threat hunting涵盖了永不出现告警的情况。

- Multiple visibility approaches,not just logs。多种可见性方法，而不仅仅是日志。

- Automation via SOAR works as a force multiplier。通过SOAR实现的自动化是一种力量倍增器。

- Deeper testing and coverage analysis。更深入的测试和覆盖率分析。

- Threat intelligence is consumed and created。威胁情报的消费和创建。

- SOC elegantly uses third party services。SOC优雅地使用第三方服务。

3.NOT现代安全运营中心（SOC）

4.现代安全运营中心（SOC）的特点一: 人（PEOPLE）

5.现代安全运营中心（SOC）的特点二: 检测工程（DETECTION ENGINEERING）

6.现代安全运营中心（SOC）的特点三: 工具（TOOLS）

7.现代安全运营中心（SOC）的特点四: 混合（hybrid）

8.未来的安全运营中心（SOC）悖论

往期精选

围观

威胁猎杀实战（六）：横向移动攻击检测

热文

全球“三大”入侵分析模型

热文

实战化ATT&CK：威胁情报

本文始发于微信公众号（天御攻防实验室）：现代安全运营中心（SOC）